한국인터넷진흥원 사칭한 스피어피싱 악성메일 발견...포털사 다음 계정 통해 유포
현재 경찰 수사중...악성코드 심어진 첨부파일 분석해 차단조치 및 백신 업데이트 중

[보안뉴스 김경애] 지난 19일 한국인터넷진흥원(이하 KISA)을 사칭한 스피어피싱 이메일이 발견돼 이용자들의 주의가 요구된다.


▲한국인터넷진흥원을 사칭해 유포된 악성메일

해당 스피어피싱 메일은 ‘[한국인터넷진흥원] 정보보안 용어모음’이란 제목으로 인터넷 발신자 계정은 jeongseon0571이며, 포털사 다음 메일을 도용하고 있다. 또한, 메일에는 악성코드가 심어진 Security Words.hwp 파일을 다운로드 할 수 있도록 링크가 걸려 유포되고 있다.

메일 내용은 ‘한국인터넷진흥원 정보관리 담당자 000입니다. 우리 진흥원에서는 보다 편리한 시스템사용을 위한 자원봉사를 하고 있습니다. 시스템 운영에 많은 도움이 되길 바랍니다. 첨부파일의 문서 암호는 sec16’이라며 첨부파일을 열도록 안내하며 악성코드 감염을 유도하고 있다.

이에 본지가 한국인터넷진흥원 조직도를 살펴본 결과 000이라는 직원은 실제 KISA 내부 직원으로 검색됐다.

이번 악성메일 유포건과 관련해 한국인터넷진흥원 종합상황실 관계자는 “KISA 내부 직원과 KISA를 사칭한 스피어피싱 이메일이 유포되고 있다”며 “해당 악성메일은 발신자 계정과 포털사 다음 메일로 유포한 것처럼 도용하고 있다. 링크를 통해 다운로드되는 첨부파일은 1996년 말경쯤 한국정보보호센터가 만든 연구자료 용어집인데, 이를 공격자가 이용했으며, 2015년 5월에 패치된 한글 취약점을 악용했다”고 밝혔다.

이어 그는 “현재 기관 사칭을 통한 이메일 유포로 19일 저녁 경찰에 신고해 수사 중이며, 악성파일이 심어진 첨부파일에 대해선 분석 작업을 통해 차단조치하고, 주요 백신사와 악성파일 샘플을 공유했다”며 “피해확산 방지를 위해 해당 이메일 수신시 열람하지 말 것”을 당부했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>